MacOS 计算机用户遭受 LightSpy 间谍软件攻击
网络安全研究人员最近发现了一种之前未记录的 LightSpy 间谍软件变种,该变种针对的是 macOS 用户。最初被认定为对 Apple iOS 用户的威胁,这一发现表明该恶意软件的功能范围更广。Huntress Labs 和 ThreatFabric 独立分析了与此跨平台恶意软件框架相关的工件,揭示了其感染多种操作系统的潜力,包括 Android、iOS、Windows、macOS、Linux,甚至 NETGEAR、Linksys 和 ASUS 的路由器。
Table of Contents
LightSpy 使用的漏洞
据 ThreatFabric 称,威胁行为者利用两个公开可用的漏洞 CVE-2018-4233 和 CVE-2018-4404 在 macOS 上植入植入物。值得注意的是,CVE-2018-4404 漏洞的一部分似乎源自 Metasploit 框架,专门针对 macOS 版本 10。
与其他恶意软件的演变和联系
LightSpy 于 2020 年首次被公开报道。Lookout 和一家荷兰移动安全公司随后的调查表明,LightSpy 和一款名为 DragonEgg 的 Android 监控工具之间可能存在联系。今年 4 月,黑莓披露了一项针对南亚用户的新网络间谍活动,并提供了 iOS 版本的 LightSpy。然而,现在人们发现,一种更复杂的 macOS 变体使用基于插件的系统来收集各种类型的信息。
当前活动和范围
虽然最近有间谍软件样本从印度上传到 VirusTotal,但 Huntress 研究人员 Stuart Ashenbrenner 和 Alden Schmidt 警告称,在没有更确凿的证据之前,不要妄下结论说这是一场活跃的攻击活动或针对某个地区的攻击。ThreatFabric 的分析表明,这个 macOS 变体至少从 2024 年 1 月开始活跃,不过似乎仅限于大约 20 台测试设备。
攻击机制
攻击首先利用 Safari WebKit 漏洞 CVE-2018-4233,通过恶意 HTML 页面执行代码。这会导致伪装成 PNG 图像文件的 64 位 Mach-O 二进制文件被传播。然后,该二进制文件提取并运行一个 shell 脚本,该脚本会获取其他有效负载:特权提升漏洞、加密/解密实用程序和 ZIP 存档。该脚本为提取的文件分配 root 权限,从而设置间谍软件在系统重启后启动的持久性。
LightSpy 的功能
LightSpy 的 macOS 版本支持十个插件,用于各种恶意活动。这些包括从麦克风捕获音频、拍照、记录屏幕活动、收集和删除文件、执行 shell 命令、列出已安装的应用程序和正在运行的进程以及从 Web 浏览器(Safari 和 Google Chrome)和 iCloud Keychain 中提取数据。此外,插件还可以捕获有关同一网络上其他设备的信息、设备已连接到的 Wi-Fi 网络列表以及附近 Wi-Fi 网络的详细信息。
指挥和控制基础设施
LightSpy Core 组件与命令和控制 (C2) 服务器建立联系,使其能够接收命令并下载插件。Core 和插件都可以通过 C2 命令动态更新。ThreatFabric 发现了一个允许访问 C2 面板的错误配置,其中包含有关受害者及其相关数据的信息。
移动威胁的更广泛背景
这一发现是针对移动设备的恶意软件大趋势的一部分。例如,Android 设备已受到 BankBot 和 SpyNote 等已知银行木马的攻击,尤其是在乌兹别克斯坦和巴西,并通过冒充墨西哥电信提供商感染拉丁美洲和加勒比地区的用户。同时,Access Now 和 Citizen Lab 报告了 Pegasus 间谍软件对拉脱维亚、立陶宛和波兰的俄语和白俄罗斯语活动人士和记者的攻击。这些攻击至少可以追溯到 2020 年,在 2022 年 2 月俄罗斯入侵乌克兰后愈演愈烈。制造 Pegasus 间谍软件的 NSO 集团表示,它只向与以色列和美国结盟的国家出售其工具,并承诺调查这些报告。
发现 macOS 间谍软件 LightSpy 变种凸显了网络威胁不断演变和复杂的性质。这一发展凸显了在所有平台上采取强有力的网络安全措施和持续警惕的重要性,以保护用户免受这种普遍且自适应的恶意软件的侵害。
